6.2 ISPP（信息系統保護輪廓）和ISST（信息系統安全目標）的要求

6.2.1　概述

本標準定義了一套能滿足許多團體需求的安全保障控制要求和能力成熟度級要求。本標準是圍繞這樣一個中心觀點開發的，即在ISPP和ISST中描述TOE的安全保障要求時，盡可能使用第2部分的安全技術保障控制要求組件和安全技術架構能力成熟度級要求、第3部分的安全管理保障控制要求組件和安全管理能力成熟度級以及第4部分的安全工程保障控制要求組件和安全工程能力成熟度級，因為它們是公認的和已被理解的。
本標準也意識到可能需要未列出的安全技術保障控制要求、安全管理保障控制要求和安全工程保障控制要求，以完整表達對信息系統安全保障的要求。以下內容適用于包容這些擴展的安全保障控制要求：
a) ISPP和ISST中包容的任何擴展的安全保障控制要求必須清晰和明確地表達，以便評估和證實。可以參照已經存在的信息系統安全技術保障控制、安全管理保障控制和安全工程保障控制要求組件描述的詳細程度和方式。
b) 應聲明評估結果是通過使用擴展的安全保障控制要求得到的

6.2.2　ISPP評估結果

本標準可幫助評估者說明一個ISPP是否完備、一致和正確，并可用于對一個可評估TOE的安全保障要求進行描述。
ISPP的評估結果為通過/失敗。評估結果是通過的ISPP對注冊登記而言是合格的。